微软称中国在关岛的美国系统中安装了恶意软件

微软和美国国家安全局 (NSA) 透露，据称受国家资助的中国黑客组织 Volt Typhoon 在关岛和美国其他地方的“关键”系统中安装了监视恶意软件。该组织自 2021 年年中以来一直在运作，据报道损害了政府组织以及通信、制造、教育和其他部门。

据调查人员称，Volt Typhoon 优先考虑隐身性。它使用依赖于操作系统中已有资源的“Living Off the Land”技术，以及直接的“键盘操作”操作。他们使用命令行来抓取凭据和其他数据，存档信息并使用它保留在目标系统中。他们还试图通过他们控制的小型和家庭办公网络硬件（例如路由器）发送数据流量来掩盖他们的活动。自定义工具帮助他们通过代理建立命令和控制通道，以保密他们的信息。

该恶意软件尚未用于攻击，但基于 Web shell 的方法可用于破坏基础设施。微软和美国国家安全局正在发布可以帮助潜在受害者检测和删除 Volt Typhoon 作品的信息，但他们警告说，抵御入侵可能是“具有挑战性的”，因为它需要关闭或更改受影响的帐户。

接受《纽约时报》采访的美国官员认为，对关岛的渗透是更大的中国情报收集系统的一部分，该系统包括据报道今年早些时候飘过美国核设施的间谍气球。关岛是关注的焦点，因为它是安徒生空军基地的所在地，这个主要基地很可能被用于美国对中国入侵台湾的任何回应。它也是太平洋船舶的重要枢纽。

拜登政府加大了保护关键基础设施的力度，包括针对共同安全要求的计划。近年来，美国多次遭受对重要系统的攻击，包括天然气管道和物资供应商。Volt Typhoon 的发现凸显了加强防御的重要性——像这样的恶意软件可能会在关键时刻危及美国军队。

注：“Living-Off-the-Land Binaries”（简称LOLBins）是指攻击者利用系统中已经存在的二进制文件来执行恶意操作的技术。这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber提出。